Vertrouwen in de digitale wereld: wat maakt het verschil in 2024?
In 2024 zien we nieuwe wetgeving op het gebied van cybersecurity geïmplementeerd worden en dat – technologische - ontwikkelingen elkaar nog sneller opvolgen. Kunnen vertrouwen op het internet is van cruciaal belang voor bedrijven en onze maatschappij, en cyberaanvallen vakkundig afslaan is daarbij essentieel.
Ingolf Rauh, hoofd product- en innovatiemanagement bij Swisscom Trust Services, ziet vier trends om de strijd tegen cyberbedreigingen aan te gaan en daarmee het vertrouwen in de digitale wereld te waarborgen.
1 - Nieuwe regelgeving: NIS2 en DORA
NIS2 (Network and Information Security 2) gaat verder dan zijn voorganger door een bredere reikwijdte, strengere beveiligingsnormen en meldingsvereisten te hanteren voor incidenten. De nieuwe wetgeving is gericht op het harmoniseren van cyberbeveiligingseisen voor kritieke infrastructuren, terwijl DORA (Digital Operational Resilience Act) de operationele veerkracht in de financiële sector benadrukt. Beide verordeningen houden met name bredere toeleveringsketens verantwoordelijk en leggen verplichtingen voor softwareleveranciers vast. NIS2 is een richtlijn die in oktober 2024 moet zijn omgezet in nationale wetgeving. Elk EU-land kan de richtlijn echter anders implementeren, wat uitdagingen met zich meebrengt voor multinationals zoals banken.
Aan de andere kant is DORA een EU-verordening die naar verwachting in 2025 direct van kracht wordt in de lidstaten. DORA richt zich op operationele stabiliteit in de financiële sector om een cyberaanval te weerstaan, zodat financiële diensten beschikbaar blijven.
Bedrijven moeten zich vroegtijdig vertrouwd maken met deze nieuwe regelgeving, omdat niet-naleving problemen kan opleveren, vooral met betrekking tot NIS2, waar de auditbevoegdheid in Nederland bij de AFM ligt. Er is al aangekondigd dat naleving actief gecontroleerd gaat worden. Artikel 46 van DORA houdt in dat verschillende autoriteiten toezien op de naleving - idealiter de ECB.
2 - eIDAS 2.0 en EU-digital wallets
In februari 2024 stemt het EU-parlement over een verordening voor de invoering van digital wallets oftewel, digitale portemonnees. Als het wetsvoorstel door zowel het Parlement als de Europese Raad komt, kan de verordening al in het voorjaar van 2024 van kracht worden. In het voorstel staat dat alle 27 lidstaten hun burgers tegen 2026 een digitale portemonnee voor elektronische identificatie moeten aanbieden. Tegen 2030 wil de Europese Commissie dat 80% van de EU-bevolking zo'n portemonnee heeft, maar critici, waaronder voorstanders van gegevensbescherming en veiligheidsexperts, maken zich zorgen over het in gevaar brengen van het anonieme gebruik van digitale diensten.
3 - Digitale handtekening is rechtsgeldig
De vereisten van de eIDAS-Verordening zijn in Nederland opgenomen in het Burgerlijk Wetboek. Hiermee is een wettelijk kader vastgesteld voor zogenaamde vertrouwensdiensten zoals een elektronische handtekening. Met de invoering van eIDAS worden elektronische handtekeningen als rechtsgeldig bewijs geaccepteerd. Een elektronische handtekening zorgt niet alleen voor een versnelling van bijvoorbeeld een contractproces, maar bespaart een bedrijf ook kosten. En ze zijn ook in bijna alle gevallen even geldig als handgeschreven handtekeningen. Maak dan wel gebruik van een geavanceerde digitale handtekening of een gekwalificeerde elektronische handtekening.
4 - Post-Kwantum cryptografie
Kwantumcomputers halen regelmatig het nieuws en de technologie nadert praktisch gebruik. Het is moeilijk in te schatten wanneer deze superieure rekenkracht op grote schaal beschikbaar komt, maar het lijkt een kwestie van tijd. Als de technologie eenmaal beschikbaar is, zal deze onvermijdelijk ook in verkeerde handen vallen, waardoor criminelen deze kunnen gebruiken om encrypties te kraken die voorheen als veilig werden beschouwd. Kwantumcomputers maken het gebruik van nieuwe algoritmen mogelijk, die de rekentijd voor het oplossen van complexe wiskundige problemen, die gebruikt worden in cryptografie, aanzienlijk verkorten.
Dit betekent dat er nieuwe algoritmen voor encryptie nodig zijn, die complex genoeg zijn om aanvallen van kwantumcomputers te weerstaan. Leveranciers van IT-beveiliging en vertrouwensdiensten moeten hun hardware en software vandaag zo ontwerpen dat ze in de toekomst nieuwe, kwantumbestendige algoritmen kunnen integreren.